هکرهای کره شمالی جاسوسافزار KoSpy را در گوگل پلی آپلود کردند
هکرهای کره شمالی به تازگی توانستهاند جاسوسافزاری به نام KoSpy را در فروشگاه گوگل پلی منتشر کنند.
طبق گزارشی که در تاریخ ۱۲ مارس ۲۰۲۵ از سوی شرکت امنیتی Lookout منتشر شد، گروه هکری کره شمالی موفق به بارگذاری جاسوسافزار KoSpy در فروشگاه گوگل پلی شدهاند. این جاسوسافزار با ظاهر شدن در قالب اپلیکیشنهای قانونی توانست از سد سیستمهای امنیتی گوگل عبور کند. یکی از این اپلیکیشنهای مخرب که خود را به عنوان یک فایل منیجر معرفی کرده بود، مدتی در فروشگاه گوگل پلی موجود بوده و بیش از ۱۰ بار دانلود شده است. شرکت Lookout در گزارش خود اسکرینشاتی از صفحه این اپ در گوگل پلی منتشر کرده است.
تحقیقات نشان میدهد که این جاسوسافزار قادر بوده حجم وسیعی از اطلاعات شخصی کاربران را جمعآوری کند. این اطلاعات شامل پیامکها، تاریخچه تماسها، موقعیت مکانی دستگاه، فایلها، کلیدهای فشردهشده روی کیبورد، اطلاعات شبکه وایفای و لیست اپلیکیشنهای نصبشده بوده است. همچنین، KoSpy میتوانست صدای محیط را ضبط کرده، از طریق دوربین گوشی عکس بگیرد و از صفحهنمایش اسکرینشات تهیه کند.
به گفته کریستوف هبایزن، مدیر تحقیقات امنیتی شرکت Lookout، این حمله بیشتر بر روی نظارت و جمعآوری اطلاعات متمرکز بوده و برخلاف حملات قبلی هکرهای کره شمالی که عمدتاً به سرقت ارزهای دیجیتال مربوط میشد، اینبار هدف اصلی جاسوسی بوده است. همچنین، تعداد کم دانلودهای این اپلیکیشنها نشان میدهد که این حمله بهطور خاص بر روی افراد خاصی متمرکز بوده و نه یک عملیات گسترده.
از آنجا که زبان توضیحات اپلیکیشنها و رابط کاربری آنها به کرهای یا انگلیسی بوده است، شرکت Lookout احتمال میدهد که هدف اصلی این حملات، افراد ساکن کره جنوبی بودهاند.
پس از گزارش Lookout، گوگل فوراً اپلیکیشنهای شناساییشده را از فروشگاه پلی حذف کرده و پروژههای مرتبط با این اپلیکیشنها را در Firebase غیرفعال ساخت. اد فرناندز، سخنگوی گوگل، اعلام کرده که سیستمهای امنیتی گوگل پلی هماکنون قادر به محافظت کاربران از نسخههای شناختهشده این بدافزار هستند.
در عین حال، گوگل هنوز اظهارنظری در خصوص ارتباط این حمله با دولت کره شمالی نکرده است و مشخص نیست که هکرها چگونه توانستهاند از فرایند بررسی امنیتی گوگل پلی عبور کنند.
علاوه بر گوگل پلی، نسخههایی از این جاسوسافزار در فروشگاه APKPure نیز یافت شده است. با این حال، سخنگوی APKPure در پاسخ به خبرنگاران اعلام کرده که هیچ ایمیلی از Lookout در اینباره دریافت نکردهاند.
تحقیقات امنیتی نشان میدهد که اپلیکیشنهای جاسوسافزار KoSpy از دامنهها و آدرسهای IP مرتبط با گروههای هکری معروف کره شمالی، APT37 و APT43، استفاده میکردهاند. این گروهها بهواسطه حملات سایبری گسترده به دولتها، شرکتها و افراد شناخته میشوند.
کریستوف هبایزن تاکید کرده است که هکرهای کره شمالی بارها توانستهاند اپلیکیشنهای آلوده خود را در فروشگاههای معتبر منتشر کنند. این امر نشاندهنده تهدید مداوم و رو به تکامل این گروههای هکری است.
این رویداد هشدار دیگری است که حتی پلتفرمهای معتبر نیز از خطر انتشار بدافزارها مصون نیستند. اگرچه گوگل تدابیر امنیتی زیادی در فروشگاه اپلیکیشن خود اتخاذ کرده است، اما مجرمان سایبری همچنان راههایی برای نفوذ به سیستمهای این پلتفرمها پیدا میکنند. در این شرایط، کاربران باید در هنگام دانلود اپلیکیشنها حتی از منابع معتبر، دقت بیشتری به خرج دهند و پیش از نصب هر اپلیکیشن، مجوزهای دسترسی آن و هویت توسعهدهنده را بهدقت بررسی کنند.
با توجه به روند رو به رشد تهدیدات سایبری، شرکتهای امنیتی و فروشگاههای اپلیکیشن باید استراتژیهای دفاعی خود را تقویت کرده تا از وقوع حملات مشابه در آینده جلوگیری کنند. این موضوع همچنان بهعنوان یکی از دغدغههای اصلی کارشناسان و دولتها در حوزه امنیت سایبری مطرح است.
